Rapyd utilise la visibilité approfondie du cloud d’Orca Security pour protéger les systèmes de paiement mondiaux

Rapyd fait tomber les barrières des paiements universels

Rapyd s’attaque à la fragmentation qui existe dans l’industrie mondiale des paiements. Elle construit la technologie qui supprime les complexités de backend du commerce transfrontalier tout en fournissant une expertise en matière de paiements locaux.

Les entreprises mondiales d’e-commerce, les entreprises technologiques, les marketplaces et les institutions financières utilisent la plateforme fintech-as-a-service de Rapyd pour intégrer de manière transparente et simple des capacités de fintech et de paiement localisées dans leurs applications. Le Rapyd Global Payments Network permet aux entreprises d’accéder au plus grand réseau de paiement local au monde, qui compte plus de 900 méthodes de paiement préférées localement. Celles-ci incluent les virements bancaires, les portefeuilles électroniques et les devises dans plus de 100 pays.

Orca simplifie la gestion des correctifs

Chaque système de paiement numérique mondial doit aujourd’hui se concentrer sans relâche sur la sécurité. C’est ce qui anime Nir Rothenberg, le RSSI de Rapyd, qui gère les opérations informatiques et de sécurité. Bien que son entreprise ait mis en place de bonnes pratiques de sécurité, le prouver aux auditeurs a été un défi.

« Notre activité, ce sont les paiements. Nous devons donc être conformes à la norme PCI DSS et nous le sommes » déclare Rothenberg. « Chaque année, les auditeurs veulent s’assurer que nous avons mis en place un bon processus de correction. Nous corrigeons sans relâche, mais ce n’est jamais à 100 % pour diverses raisons. Le fait de devoir tout documenter pour montrer que nous maîtrisons cela était un véritable problème avant de trouver Orca. »

Rapyd fonctionne pleinement dans le cloud, avec tout sur AWS. Rothenberg voulait un outil intelligent pour fournir une visibilité complète sur les serveurs ayant vraiment besoin d’un correctif. Il a cherché une liste prioritaire avec tout dans son contexte. De nombreux outils peuvent analyser et répertorier ce qui nécessite un correctif, mais sans contexte, la liste est longue et une grande partie n’a pas de sens.

« Les outils AWS natifs manquent d’intelligence. Une analyse AWS Inspector peut nous donner des résultats, mais ces résultats ne correspondent pas toujours à notre contexte » déclare Rothenberg. « Nous obtiendrons une liste d’un millier de correctifs, tous jugés critiques. Mais certains ne peuvent pas être déployés car ils ne correspondent pas à notre distribution, ou ils sont destinés à des serveurs hors ligne où les correctifs n’ont pas d’importance. Si je montrais un tel rapport à un auditeur, il penserait que nous ne gérons pas bien nos affaires. »

« Les analyses d’Orca renvoient un rapport significatif et exploitable qui met tout en contexte. Outre ses conclusions, Orca fournit des considérations périphériques pour guider notre processus de gestion des correctifs. »
Nir Rothenberg

Responsable de la sécurité des systèmes d’information

« Disons qu’il y a un serveur avec une vulnérabilité critique. Il existe un correctif qui fonctionne sur Ubuntu 18.4, mais nous avons 18.9. Donc, dans ce contexte, nous ne pouvons pas appliquer un correctif. Non seulement cela, mais en plus le serveur n’est pas connecté à l’Internet, donc ce n’est pas vraiment important de toute façon. Orca nous dit : « Correctif critique, risque moyen ». Je peux le montrer à un auditeur pour justifier nos actions. »

Rothenberg a évalué divers outils AWS, notamment GuardDuty, Inspector et Detective, ainsi que des outils de sécurité traditionnels basés sur des agents et des scanneurs de réseau. Il a appris qu’il faut beaucoup de frais généraux pour faire fonctionner ces outils, trop pour se rapprocher de ce qu’Orca livre tout de suite.

« Pour les outils basés sur des agents, nous aurions dû créer des serveurs, déployer un agent, écrire et exécuter des scripts, connaître notre environnement et configurer un tableau de bord pour montrer ce que nous voulons voir. Nous aurions dû lui apprendre ce qui est et ce qui n’est pas un risque, et faire une grande partie du travail d’analyse nous-mêmes. Et nous serions toujours en train de le peaufiner parce que le risque est dynamique ; ça change. Toutes ces étapes sont toutes automatiques avec Orca. »

Orca identifie une non-conformité aux contrôles CIS et un risque pour les PII

Rothenberg supervise la conformité de Rapyd aux contrôles Center for Internet Security. Pour cela aussi, il a essayé les outils AWS natifs et les a trouvés insuffisants. « Nous devons comprendre par nous-mêmes ce que signifient les résultats de leur analyse. Mais avec Orca, les résultats de l’analyse sont tous digérés et ciblés. Nous pouvons immédiatement voir la non-conformité au CIS que nous devons traiter en premier. Nous avons intégré Orca à Jira. Pour attribuer le travail au DevOps, il nous suffit de cliquer sur un bouton. »

Rothenberg affirme que la création de tickets est essentielle pour le suivi des tâches internes. « Connaissant à tout moment les tâches et les risques associés, nous pouvons hiérarchiser ce que nous envoyons au DevOps afin qu’il ne soit pas submergé. Si nous sommes audités, nous pouvons démontrer : « C’est notre pipeline, c’est notre plan de travail. » Tout est dans Jira et tout a une piste d’audit. »

« Orca nous offre une visibilité immédiate et non invasive sur l’ensemble de notre infrastructure. »
Nir Rothenberg

Responsable de la sécurité des systèmes d’information

Le RSSI se tourne également vers Orca pour identifier les situations où les PII sont à risque dans des fichiers qui pourraient ne pas être correctement protégés. « En tant qu’entreprise de paiement, nous sommes très sensibles à l’exposition aux PII. Si un serveur contient des PII ou si des clés de chiffrement sont exposées, Orca les détecte immédiatement et nous indique les risques en fonction de cette machine et de l’actif spécifique. Nous sommes en mesure de remédier rapidement à l’incident. »

Au cours des années précédentes, Rapyd suivait les vulnérabilités dans les feuilles de calcul Excel. Orca a éliminé ce processus. « Désormais, tout est automatisé et dispose d’un pipeline CI/CD. La prochaine fois que nous ferons face à un audit, je pourrai montrer nos rapports Orca et Jira pour montrer les risques que nous suivons et ce que nous faisons pour y remédier » explique Rothenberg. « Avec la façon dont nous surveillons nos actifs aujourd’hui, il devient très simple de démontrer l’application de correctifs et la conformité. »

« Nous pensons que la simplicité facilite la sécurité. »
Nir Rothenberg

Responsable de la sécurité des systèmes d’information

La simplicité mène à une meilleure sécurité

Orca a simplifié la vie de l’équipe de sécurité de Rothenberg. « Juste après avoir connecté Orca à notre environnement, elle a immédiatement trouvé beaucoup de choses intéressantes. Sans Orca, nous n’aurions jamais cette visibilité. »

« Orca est formidable pour nous aider à travailler avec DevOps » déclare Rothenberg. « Mon administrateur système peut désormais parler avec le DevOps en tête à tête. Il peut expliquer ce que nous avons trouvé, il peut lui montrer. Cela nous aide à devenir plus professionnels, à mieux voir l’environnement, à mieux le comprendre. Maintenant, nous sommes plus collaboratifs avec le DevOps et plus utiles pour lui. C’est un vrai pas vers le DevSecOps. Maintenant, nous sommes une machine bien huilée. La friction organisationnelle entre la sécurité et le DevOps a disparu. »